第三部分網(wǎng)絡(luò)安全防御技術(shù)

★第10章防火墻與入侵檢測(cè)◎防火墻的基本概念◎常見防火墻類型及實(shí)現(xiàn)防火墻規(guī)則集◎入侵檢測(cè)系統(tǒng)的基本概念和入侵檢測(cè)的常用方法◎編寫入侵檢測(cè)工具◎使用工具實(shí)現(xiàn)入侵檢測(cè)。

★第8章安全操作系統(tǒng)基礎(chǔ)◎安全操作系統(tǒng)的基本概念、實(shí)現(xiàn)機(jī)制◎安全模型以及安全體系結(jié)構(gòu)◎操作系統(tǒng)安全的36條基本配置原則

★第9章密碼學(xué)與信息加密◎密碼學(xué)的基本概念◎DES加密和RSA加密◎加密工具PGP◎數(shù)字簽名的原理，數(shù)字水印的基本概念◎PKI信任模型

★第11章IP安全與Web安全◎IPSec中的AH協(xié)議和ESP協(xié)議◎密鑰交換協(xié)議IKE◎VPN的功能以及解決方案◎SSL和TLS安全協(xié)議的內(nèi)容與體系結(jié)構(gòu)

第8章安全操作系統(tǒng)基礎(chǔ)內(nèi)容提要

◎介紹安全操作系統(tǒng)的基本概念、實(shí)現(xiàn)機(jī)制、安全模型以及安全體系結(jié)構(gòu)

◎操作系統(tǒng)的安全將決定網(wǎng)絡(luò)的安全，從保護(hù)級(jí)別上分成安全初級(jí)篇、中級(jí)篇和高級(jí)篇，共36條基本配置原則8.1常用操作系統(tǒng)概述

目前服務(wù)器常用的操作系統(tǒng)有四類：FreeBSD、UNIX、Linux和WindowsNT/2000/2003Server。這些操作系統(tǒng)都是符合C2級(jí)安全級(jí)別的操作系統(tǒng)，但是都存在不少漏洞，如果對(duì)這些漏洞不了解，不采取相應(yīng)的安全措施，就會(huì)使操作系統(tǒng)完全暴露給入侵者。8.1.1UNIX操作系統(tǒng)

UNIX操作系統(tǒng)是由美國貝爾實(shí)驗(yàn)室開發(fā)的一種多用戶、多任務(wù)的通用操作系統(tǒng)。它從一個(gè)實(shí)驗(yàn)室的產(chǎn)品發(fā)展成為當(dāng)前使用普遍、影響深遠(yuǎn)的主流操作系統(tǒng)。

Unix系統(tǒng)的絕大部分源代碼都用C語言重新編寫過，大大提高了Unix系統(tǒng)的可移植性，也為提高系統(tǒng)軟件的開發(fā)效率創(chuàng)造了條件。UNIX操作系統(tǒng)的特色

UNIX操作系統(tǒng)經(jīng)過20多年的發(fā)展后，已經(jīng)成為一種成熟的主流操作系統(tǒng)，并在發(fā)展過程中逐步形成了一些新的特色，其中主要特色包括5個(gè)方面。（1）可靠性（2）極強(qiáng)的伸縮性（3）網(wǎng)絡(luò)功能強(qiáng)（4）強(qiáng)大的數(shù)據(jù)庫支持功能（5）開放性好

8.1.2Linux系統(tǒng)

Linux是一套可以免費(fèi)使用和自由傳播的類UNIX操作系統(tǒng)，主要用于基于Intelx86系列CPU的計(jì)算機(jī)上。這個(gè)系統(tǒng)是由全世界各地的成千上萬的程序員設(shè)計(jì)和實(shí)現(xiàn)的。其目的是建立不受任何商品化軟件的版權(quán)制約的、全世界都能自由使用的UNIX兼容產(chǎn)品。

Linux操作系統(tǒng)受到廣大計(jì)算機(jī)愛好者的喜愛的原因有兩個(gè)：一是它屬于自由軟件（用戶不需支付任何費(fèi)用就可獲得它和它的源代碼，并可根據(jù)需要進(jìn)行修改，無償使用，無約束繼續(xù)傳播。另一個(gè)原因是它具有UNIX的全部功能。

Linux是一個(gè)免費(fèi)的操作系統(tǒng)，用戶可以免費(fèi)獲得其源代碼，并能夠隨意修改。它是在共用許可證GPL(GeneralPublicLicense)保護(hù)下的自由軟件，也有好幾種版本，如RedHatLinux、Slackware，以及國內(nèi)的XteamLinux、紅旗Linux等等。Linux的流行是因?yàn)樗哂性S多優(yōu)點(diǎn)，典型的優(yōu)點(diǎn)有7個(gè)。

Linux典型的優(yōu)點(diǎn)有7個(gè)：(了解）

（1）完全免費(fèi)

（2）完全兼容POSIX1.0標(biāo)準(zhǔn)

（3）多用戶、多任務(wù)

（4）良好的界面

（5）豐富的網(wǎng)絡(luò)功能

（6）可靠的安全穩(wěn)定性能

（7）支持多種平臺(tái)8.1.3Windows系統(tǒng)

WindowsNT（NewTechnology）是微軟公司第一個(gè)真正意義上的網(wǎng)絡(luò)操作系統(tǒng)，發(fā)展經(jīng)過NT3.0、NT40、NT5.0（Windows2000）和NT6.0（Windows2003）等眾多版本，并逐步占據(jù)了廣大的中小網(wǎng)絡(luò)操作系統(tǒng)的市場(chǎng)。

WindowsNT眾多版本的操作系統(tǒng)使用了與Windows9X完全一致的用戶界面和完全相同的操作方法，使用戶使用起來比較方便。與Windows9X相比，WindowsNT的網(wǎng)絡(luò)功能更加強(qiáng)大并且安全。WindowsNT系列操作系統(tǒng)

WindowsNT系列操作系統(tǒng)具有以下三方面的優(yōu)點(diǎn)。

（1）支持多種網(wǎng)絡(luò)協(xié)議

（2）內(nèi)置Internet功能

（3）支持NTFS文件系統(tǒng)

Windows9X所使用的文件系統(tǒng)是FAT，在NT中內(nèi)置同時(shí)支持FAT和NTFS的磁盤分區(qū)格式。使用NTFS的好處主要是可以提高文件管理的安全性，用戶可以對(duì)NTFS系統(tǒng)中的任何文件、目錄設(shè)置權(quán)限，這樣當(dāng)多用戶同時(shí)訪問系統(tǒng)的時(shí)候，可以增加文件的安全性。8.2安全操作系統(tǒng)的研究發(fā)展（了解）

Multics是開發(fā)安全操作系統(tǒng)最早期的嘗試。1965年美國貝爾實(shí)驗(yàn)室和麻省理工學(xué)院的MAC課題組等一起聯(lián)合開發(fā)一個(gè)稱為Multics的新操作系統(tǒng)，其目標(biāo)是要向大的用戶團(tuán)體提供對(duì)計(jì)算機(jī)的并發(fā)訪問，支持強(qiáng)大的計(jì)算能力和數(shù)據(jù)存儲(chǔ)，并具有很高的安全性。貝爾實(shí)驗(yàn)室中后來參加UNIX早期研究的許多人當(dāng)時(shí)都參加了Multics的開發(fā)工作。由于Multics項(xiàng)目目標(biāo)的理想性和開發(fā)中所遇到的遠(yuǎn)超預(yù)期的復(fù)雜性使得結(jié)果不是很理想。事實(shí)上連他們自己也不清楚什么時(shí)候，開發(fā)到什么程度才算達(dá)到設(shè)計(jì)的目標(biāo)。雖然Multics未能成功，但它在安全操作系統(tǒng)的研究方面邁出了重要的第一步，Multics為后來的安全操作系統(tǒng)研究積累了大量的經(jīng)驗(yàn)，其中Mitre公司的Bell和LaPadula合作設(shè)計(jì)的BLP安全模型首次成功地用于Multics，BLP安全模型后來一直都作為安全操作系統(tǒng)開發(fā)所采用的基礎(chǔ)安全模型。8.2安全操作系統(tǒng)的研究發(fā)展（了解）

Adept-50是一個(gè)分時(shí)安全操作系統(tǒng)，可以實(shí)際投入使用，1969年C.Weissman發(fā)表了有關(guān)Adept-50的安全控制的研究成果。安全Adept-50運(yùn)行于IBM/360硬件平臺(tái)，它以一個(gè)形式化的安全模型——高水印模型（High-Water-MarkModel）為基礎(chǔ)，實(shí)現(xiàn)了美國的一個(gè)軍事安全系統(tǒng)模型，為給定的安全問題提供了一個(gè)比較形式化的解決方案。在該系統(tǒng)中可以為客體標(biāo)上敏感級(jí)別（SensitivityLevel）屬性。系統(tǒng)支持的基本安全條件是，對(duì)于讀操作不允許信息的敏感級(jí)別高于用戶的安全級(jí)別（Clearance）；在授權(quán)情況下，對(duì)于寫操作允許信息從高敏感級(jí)別移向低敏感級(jí)別。8.2安全操作系統(tǒng)的研究發(fā)展（了解）

Adept-50是一個(gè)分時(shí)安全操作系統(tǒng)，可以實(shí)際投入使用，1969年C.Weissman發(fā)表了有關(guān)Adept-50的安全控制的研究成果。安全Adept-50運(yùn)行于IBM/360硬件平臺(tái)，它以一個(gè)形式化的安全模型——高水印模型（High-Water-MarkModel）為基礎(chǔ)，實(shí)現(xiàn)了美國的一個(gè)軍事安全系統(tǒng)模型，為給定的安全問題提供了一個(gè)比較形式化的解決方案。在該系統(tǒng)中可以為客體標(biāo)上敏感級(jí)別（SensitivityLevel）屬性。系統(tǒng)支持的基本安全條件是，對(duì)于讀操作不允許信息的敏感級(jí)別高于用戶的安全級(jí)別（Clearance）；在授權(quán)情況下，對(duì)于寫操作允許信息從高敏感級(jí)別移向低敏感級(jí)別。1969年B.W.Lampson通過形式化表示方法運(yùn)用主體（Subject）、客體（Object）和訪問矩陣（AccessMatrix）的思想第一次對(duì)訪問控制問題進(jìn)行了抽象。主體是訪問操作中的主動(dòng)實(shí)體，客體是訪問操作中被動(dòng)實(shí)體，主體對(duì)客體進(jìn)行訪問。訪問矩陣以主體為行索引、以客體為列索引，矩陣中的每一個(gè)元素表示一組訪問方式，是若干訪問方式的集合。矩陣中第i行第j列的元素Mij記錄著第i個(gè)主體Si可以執(zhí)行的對(duì)第j個(gè)客體Oj的訪問方式，比如Mij＝{Read，Write}表示Si可以對(duì)Oj進(jìn)行讀和寫操作。

8.2安全操作系統(tǒng)的研究發(fā)展（了解）

1972年，J.P.Anderson在一份研究報(bào)告中提出了訪問監(jiān)控器（ReferenceMonitor）、引用驗(yàn)證機(jī)制（ReferenceValidationMechanism）、安全內(nèi)核（SecurityKernel）和安全建模等重要思想。J.P.Anderson指出，要開發(fā)安全系統(tǒng)，首先必須建立系統(tǒng)的安全模型，完成安全系統(tǒng)的建模之后，再進(jìn)行安全內(nèi)核的設(shè)計(jì)與實(shí)現(xiàn)。1973年，B.W.Lampson提出了隱蔽通道的概念，他發(fā)現(xiàn)兩個(gè)被限制通信的實(shí)體之間如果共享某種資源，那么它們可以利用隱蔽通道傳遞信息。同年，D.E.Bell和L.J.LaPadula提出了第一個(gè)可證明的安全系統(tǒng)的數(shù)學(xué)模型，即BLP模型。1976年Bell和LaPadula完成的研究報(bào)告給出了BLP模型的最完整表述，其中包含模型的形式化描述和非形式化說明，以及模型在Multics系統(tǒng)中實(shí)現(xiàn)的解釋。

8.2安全操作系統(tǒng)的研究發(fā)展（了解）

PSOS（ProvablySecureOperatingSystem）提供了一個(gè)層次結(jié)構(gòu)化的基于權(quán)能的安全操作系統(tǒng)設(shè)計(jì)，1975年前后開始開發(fā)。PSOS采用了層次式開發(fā)方法，通過形式化技術(shù)實(shí)現(xiàn)對(duì)安全操作系統(tǒng)的描述和驗(yàn)證，設(shè)計(jì)中的每一個(gè)層次管理一個(gè)特定類型的對(duì)象，系統(tǒng)中的每一個(gè)對(duì)象通過該對(duì)象的權(quán)能表示進(jìn)行訪問。KSOS（KernelizedSecureoperatingSystem）是美國國防部研究計(jì)劃局1977年發(fā)起的一個(gè)安全操作系統(tǒng)研制項(xiàng)目，由Ford太空通訊公司承擔(dān)。KSOS采用了形式化說明與驗(yàn)證的方法，目標(biāo)是高安全可信性。UCLASecureUnix也是美國國防部研究計(jì)劃局于1978年前后發(fā)起的一個(gè)安全操作系統(tǒng)研制項(xiàng)目，由加里福尼亞大學(xué)承擔(dān)。UCLASecureUnix的系統(tǒng)設(shè)計(jì)方法及目標(biāo)幾乎與KSOS相同。

8.2安全操作系統(tǒng)的研究發(fā)展（了解）

LINVSⅣ是1984年開發(fā)的基于UNIX的一個(gè)實(shí)驗(yàn)安全操作系統(tǒng)，系統(tǒng)的安全性可達(dá)到美國國防部橘皮書的B2級(jí)。它以4.1BSDUnix為原型，實(shí)現(xiàn)了身份鑒別、自主訪問控制、強(qiáng)制訪問控制、安全審計(jì)、特權(quán)用戶權(quán)限分隔等安全功能。SecureXenix是IBM公司于1986年在SCOXenix的基礎(chǔ)上開發(fā)的一個(gè)安全操作系統(tǒng)，它最初是在IBMPC/AT平臺(tái)上實(shí)現(xiàn)的。SecureXenix對(duì)Xenix進(jìn)行了大量的改造開發(fā)，并采用了一些形式化說明與驗(yàn)證技術(shù)。它的目標(biāo)是TCSEC的B2到A1級(jí)。IBM公司的V.D.Gligor等在發(fā)表SecureXenix系統(tǒng)的設(shè)計(jì)與開發(fā)成果中，把Unix類的安全操作系統(tǒng)開發(fā)方法劃分成仿真法和改造/增強(qiáng)法兩種方式。SecureXenix系統(tǒng)采用的是改造/增強(qiáng)法。另外值得指出的是SecureXenix系統(tǒng)基于安全注意鍵（SAK，SecureAttentionKey）實(shí)現(xiàn)了可信通路（TrustedPath），并在安全保證方面重點(diǎn)考慮了3個(gè)目標(biāo)：⑴系統(tǒng)設(shè)計(jì)與BLP模型之間的一致性；⑵實(shí)現(xiàn)的安全功能的測(cè)試；⑶軟件配置管理工具的開發(fā)。

8.2安全操作系統(tǒng)的研究發(fā)展（了解）

1987年，美國TrustedInformationSystems公司以Mach操作系統(tǒng)為基礎(chǔ)開發(fā)了B3級(jí)的Tmach（TrustedMach）操作系統(tǒng)。除了進(jìn)行用戶標(biāo)識(shí)和鑒別及命名客體的存取控制外，它將BLP模型加以改進(jìn)，運(yùn)用到對(duì)MACH核心的端口、存儲(chǔ)對(duì)象等的管理當(dāng)中。通過對(duì)端口間的消息傳送進(jìn)行控制和對(duì)端口、存儲(chǔ)對(duì)象、任務(wù)等的安全標(biāo)識(shí)來加強(qiáng)微核心的安全機(jī)制。1989年，加拿大多倫多大學(xué)開發(fā)了與UNIX兼容的安全TUNIS操作系統(tǒng)。在實(shí)現(xiàn)中安全TUNIS改進(jìn)了BLP模型,并用TuringPlus語言（而不是C）重新實(shí)現(xiàn)了Unix內(nèi)核，模塊性相當(dāng)好。TuringPlus是一種強(qiáng)類型高級(jí)語言，其大部分語句都具有用于正確性證明的形式語義。在發(fā)表安全TUNIS設(shè)計(jì)開發(fā)成果中，Gernier等指出，如果不進(jìn)行系統(tǒng)的重新設(shè)計(jì)，以傳統(tǒng)Unix系統(tǒng)為原型，很難開發(fā)出高于TCSEC標(biāo)準(zhǔn)的B2級(jí)安全操作系統(tǒng)，這一方面是因?yàn)橛糜诰帉慤nix系統(tǒng)的C語言是一個(gè)非安全的語言，另一方面是因?yàn)閁nix系統(tǒng)內(nèi)部的模塊化程度不夠。安全TUNIS系統(tǒng)的設(shè)計(jì)目標(biāo)是B3-A1級(jí)，支持這個(gè)目標(biāo)的關(guān)鍵也在于：第一其采用了TuringPlus語言，第二其采用了安全策略與安全機(jī)制相分離的方法，并提供了一個(gè)簡(jiǎn)單而結(jié)構(gòu)規(guī)范的TCB，從而簡(jiǎn)化了TCB的驗(yàn)證工作。

8.2安全操作系統(tǒng)的研究發(fā)展（了解）

ASOS（ArmySecureOperatingSystem）是針對(duì)美軍的戰(zhàn)術(shù)需要而設(shè)計(jì)的軍用安全操作系統(tǒng)，由TRW公司1990年發(fā)布完成。ASOS由兩類系統(tǒng)組成，其中一類是多級(jí)安全操作系統(tǒng)，設(shè)計(jì)目標(biāo)是TCSEC的A1級(jí)；另一類是專用安全操作系統(tǒng)，設(shè)計(jì)目標(biāo)是TCSEC的C2級(jí)。兩類系統(tǒng)都支持Ada語言編寫的實(shí)時(shí)戰(zhàn)術(shù)應(yīng)用程序，都能根據(jù)不同的戰(zhàn)術(shù)應(yīng)用需求進(jìn)行配置，都可以很容易地在不同硬件平臺(tái)間移植，兩類系統(tǒng)還提供了一致的用戶界面。從具體實(shí)現(xiàn)上來看，ASOS操作系統(tǒng)還具有5個(gè)主要特點(diǎn)：⑴ASOS操作系統(tǒng)本身也主要是用Ada語言實(shí)現(xiàn)的；⑵ASOS采用訪問控制列表（AccessControlList，ACL）實(shí)現(xiàn)了細(xì)粒度的自主訪問控制；⑶ASOS依據(jù)BLP模型實(shí)現(xiàn)了防止信息泄露的強(qiáng)制訪問控制，依據(jù)Biba模型實(shí)現(xiàn)了確保數(shù)據(jù)完整性的強(qiáng)制訪問控制；⑷ASOS在形式化驗(yàn)證中建立了兩個(gè)層次的規(guī)范和證明，一個(gè)層次用于抽象的安全模型，另一個(gè)層次用于形式化頂層規(guī)范；⑸用于證明系統(tǒng)安全性的主要工具是Gypsy驗(yàn)證環(huán)境（GVE），ASOS開發(fā)了一個(gè)在GVE中工作的流分析工具，用于分析系統(tǒng)設(shè)計(jì)中潛在的隱蔽通道。8.2安全操作系統(tǒng)的研究發(fā)展（了解）

OSF/1是開放軟件基金會(huì)于1990年推出的一個(gè)安全操作系統(tǒng)，被美國國家計(jì)算機(jī)安全中心（NCSC）認(rèn)可為符合TCSEC的B1級(jí)，其主要安全性表現(xiàn)4個(gè)方面：⑴系統(tǒng)標(biāo)識(shí)；⑵口令管理；⑶強(qiáng)制存取控制和自主存取控制；⑷審計(jì)。UNIXSVR4.1ES是UI（UNIX國際組織）于1991年推出的一個(gè)安全操作系統(tǒng)，被美國國家計(jì)算機(jī)安全中心（NCSC）認(rèn)可為符合TCSEC的B2級(jí)，除OSF/1外的安全性主要表現(xiàn)在4個(gè)方面：⑴更全面的存取控制；⑵最小特權(quán)管理；⑶可信通路；⑷隱蔽通道分析和處理。1991年，在歐洲共同體的贊助下，英、德、法、荷四國制定了擬為歐共體成員國使用的共同標(biāo)準(zhǔn)——信息技術(shù)安全評(píng)定標(biāo)準(zhǔn)（ITSEC）。隨著各種標(biāo)準(zhǔn)的推出和安全技術(shù)產(chǎn)品的發(fā)展，美國和同加拿大及歐共體國家一起制定通用安全評(píng)價(jià)準(zhǔn)則（CommonCriteriaforITSecurityEvaluation，CC），1996年1月發(fā)布了CC的1.0版。CC標(biāo)準(zhǔn)的2.0版已于1997年8月頒布，并于1999年7月通過國際標(biāo)準(zhǔn)組織認(rèn)可，確立為國際標(biāo)準(zhǔn)，即ISO/IEC15408。

8.2安全操作系統(tǒng)的研究發(fā)展（了解）

在1992到1993年之間，美國國家安全局（NSA）和安全計(jì)算公司（SCC）的研究人員在TMach項(xiàng)目和LOCK項(xiàng)目的基礎(chǔ)上，共同設(shè)計(jì)和實(shí)現(xiàn)了分布式可信Mach系統(tǒng)（DistributedTrustedMach，DTMach）。DTMach項(xiàng)目的后繼項(xiàng)目是分布式可信操作系統(tǒng)（DistributedTrustedOperatingSystem，DTOS）。DTOS項(xiàng)目改良了早期的設(shè)計(jì)和實(shí)現(xiàn)工作，產(chǎn)生了一些供大學(xué)研究的原型系統(tǒng)，例如SecureTransactionalResources、DX等。此外DTOS項(xiàng)目產(chǎn)生了一些學(xué)術(shù)報(bào)告、系統(tǒng)形式化的需求說明書、安全策略和特性的分析、組合技術(shù)的研究和對(duì)多種微內(nèi)核系統(tǒng)安全和保證的研究。當(dāng)DTOS項(xiàng)目快要完成的時(shí)候，NSA、SCC和猶他州大學(xué)的Flux項(xiàng)目組聯(lián)合將DTOS安全結(jié)構(gòu)移植到Fluke操作系統(tǒng)研究中去。在將結(jié)構(gòu)移植到Fluke的過程中，他們改良了結(jié)構(gòu)以更好地支持動(dòng)態(tài)安全策略。這個(gè)改良后的結(jié)構(gòu)就叫Flask。一些Flask的接口和組件就是從Fluke到OSKit中的接口和組件中繼承下來的。8.2安全操作系統(tǒng)的研究發(fā)展（了解）

2001年，F(xiàn)lask由NSA在Linux操作系統(tǒng)上實(shí)現(xiàn)，并且不同尋常地向開放源碼社區(qū)發(fā)布了一個(gè)安全性增強(qiáng)型版本的Linux（SELinux）－－包括代碼和所有文檔。與傳統(tǒng)的基于TCSEC標(biāo)準(zhǔn)的開發(fā)方法不同，1997年美國國家安全局和安全計(jì)算公司完成的DTOS安全操作系統(tǒng)采用了基于安全威脅的開發(fā)方法。設(shè)計(jì)目標(biāo)包括3個(gè)方面：（1）策略靈活性：DTOS內(nèi)核應(yīng)該能夠支持一系列的安全策略，包括諸如國防部的強(qiáng)制存取控制多級(jí)安全策略；（2）與Mach兼容，現(xiàn)有的Mach應(yīng)用應(yīng)能在不做任何改變的情況下運(yùn)行；（3）性能應(yīng)與Mach接近。

8.2安全操作系統(tǒng)的研究發(fā)展（了解）

SELinux以Flask安全體系結(jié)構(gòu)為指導(dǎo)，通過安全判定與安全實(shí)施的分離實(shí)現(xiàn)了安全策略的獨(dú)立性，借助訪問向量緩存（AVC）實(shí)現(xiàn)了對(duì)動(dòng)態(tài)策略的支持。SELinux定義了一個(gè)類型實(shí)施（TE）策略，基于角色的訪問控制（RBAC）策略和多級(jí)安全（MLS）策略組合的安全策略，其中TE和RBAC策略總是系統(tǒng)實(shí)現(xiàn)的安全策略的有機(jī)組成。EROS（ExtremelyReliableOperatingSystem）是一種基于權(quán)能（Capability，權(quán)能）的高性能微內(nèi)核實(shí)時(shí)安全操作系統(tǒng)，是GNOSIS（后命名為KeyKOS）體系結(jié)構(gòu)的第三代實(shí)現(xiàn)。EROS最初由美國賓西法尼亞大學(xué)開發(fā)，此項(xiàng)目現(xiàn)已轉(zhuǎn)入約翰－霍普金斯大學(xué)。目前，EROS仍處在研究開發(fā)階段，只支持Intel486以上的系列芯片。第一個(gè)EROS內(nèi)核已在1999年完成，現(xiàn)在開發(fā)的版本是EROS2.0，不久就會(huì)發(fā)布。EROS的源代碼遵守GPL規(guī)范，可在其網(wǎng)站（）獲得。

8.2.2國內(nèi)安全操作系統(tǒng)的發(fā)展（了解）

國內(nèi)也進(jìn)行了許多有關(guān)安全操作系統(tǒng)的開發(fā)研制工作，并取得了一些研究成果。1990年前后，海軍計(jì)算技術(shù)研究所和解放軍電子技術(shù)學(xué)院分別開始了安全操作系統(tǒng)技術(shù)方面的探討，他們都是參照美國TCSEC標(biāo)準(zhǔn)的B2級(jí)安全要求，基于UNIXSystemV3.2進(jìn)行安全操作系統(tǒng)的研究與開發(fā)。1993年，海軍計(jì)算技術(shù)研究所繼續(xù)按照美國TCSEC標(biāo)準(zhǔn)的B2級(jí)安全要求，圍繞UnixSVR4.2/SE，實(shí)現(xiàn)了國產(chǎn)自主的安全增強(qiáng)包。1995年，在國家“八五”科技攻關(guān)項(xiàng)目――“COSA國產(chǎn)系統(tǒng)軟件平臺(tái)”中，圍繞UNIX類國產(chǎn)操作系統(tǒng)COSIXV2.0的安全子系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)，中國計(jì)算機(jī)軟件與技術(shù)服務(wù)總公司、海軍計(jì)算技術(shù)研究所和中國科學(xué)院軟件研究所一起參與了研究工作。COSIXV2.0安全子系統(tǒng)的設(shè)計(jì)目標(biāo)是介于美國TCSEC的B1和B2級(jí)安全要求之間，當(dāng)時(shí)定義為B1＋，主要實(shí)現(xiàn)的安全功能包括安全登錄、自主訪問控制、強(qiáng)制訪問控制、特權(quán)管理、安全審計(jì)和可信通路等。

8.2.2國內(nèi)安全操作系統(tǒng)的發(fā)展（了解）

1996年，由中國國防科學(xué)技術(shù)工業(yè)委員會(huì)發(fā)布了軍用計(jì)算機(jī)安全評(píng)估準(zhǔn)則GJB2646－96（一般簡(jiǎn)稱為軍標(biāo)），它與美國TCSEC基本一致。1998年，電子工業(yè)部十五所基于UnixWareV2.1按照美國TCSEC標(biāo)準(zhǔn)的B1級(jí)安全要求，對(duì)Unix操作系統(tǒng)的內(nèi)核進(jìn)行了安全性增強(qiáng)。1999年10月19日，我國國家技術(shù)監(jiān)督局發(fā)布了國家標(biāo)準(zhǔn)GB17859－1999《計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級(jí)劃分準(zhǔn)則》，為計(jì)算機(jī)信息系統(tǒng)安全保護(hù)能力劃分了等級(jí)。該標(biāo)準(zhǔn)已于2001年起強(qiáng)制執(zhí)行。Linux自由軟件的廣泛流行對(duì)我國安全操作系統(tǒng)的研究與開發(fā)具有積極的推進(jìn)作用。2001年前后，我國安全操作系統(tǒng)研究人員相繼推出了一批基于Linux的安全操作系統(tǒng)開發(fā)成果。這包括：

8.2.2國內(nèi)安全操作系統(tǒng)的發(fā)展（了解）

中國科學(xué)院信息安全技術(shù)工程研究中心基于Linux資源，開發(fā)完成了符合我國GB17859－1999第三級(jí)（相當(dāng)于美國TCSECB1）安全要求的安全操作系統(tǒng)SecLinux。SecLinux系統(tǒng)提供了身份標(biāo)識(shí)與鑒別、自主訪問控制、強(qiáng)制訪問控制、最小特權(quán)管理、安全審計(jì)、可信通路、密碼服務(wù)、網(wǎng)絡(luò)安全服務(wù)等方面的安全功能。依托南京大學(xué)的江蘇南大蘇富特軟件股份有限公司開發(fā)完成了基于Linux的安全操作系統(tǒng)SoftOS，實(shí)現(xiàn)的安全功能包括：強(qiáng)制訪問控制、審計(jì)、禁止客體重用、入侵檢測(cè)等。信息產(chǎn)業(yè)部30所控股的三零盛安公司推出的強(qiáng)林Linux安全操作系統(tǒng)，達(dá)到了我國GB17859－1999第三級(jí)的安全要求。中國科學(xué)院軟件所開放系統(tǒng)與中文處理中心基于紅旗Linux操作系統(tǒng)，實(shí)現(xiàn)了符合我國GB17859－1999第三級(jí)要求的安全功能。中國計(jì)算機(jī)軟件與技術(shù)服務(wù)總公司以美國TCSEC標(biāo)準(zhǔn)的B1級(jí)為安全目標(biāo)，對(duì)其COSIXV2.0進(jìn)行了安全性增強(qiáng)改造。

8.3安全操作系統(tǒng)的基本概念

安全操作系統(tǒng)涉及很多概念：

主體和客體

安全策略和安全模型

訪問監(jiān)控器

安全內(nèi)核

可信計(jì)算基。8.3.1主體和客體

系統(tǒng)中最基本的主體應(yīng)該是用戶（包括一般用戶和系統(tǒng)管理員、系統(tǒng)安全員、系統(tǒng)審計(jì)員等特殊用戶）。進(jìn)程是系統(tǒng)中最活躍的實(shí)體，用戶的所有事件要求都要通過進(jìn)程的運(yùn)行來處理。在這里，進(jìn)程作為用戶的客體，同時(shí)又是其訪問對(duì)象的主體（主體：系統(tǒng)內(nèi)行為的發(fā)起者）

客體是一個(gè)被動(dòng)的實(shí)體。在操作系統(tǒng)中，客體可以是按照一定格式存儲(chǔ)在一定記錄介質(zhì)上的數(shù)據(jù)信息（通常以文件系統(tǒng)格式存儲(chǔ)數(shù)據(jù)），也可以是操作系統(tǒng)中的進(jìn)程。（客體：所有主體行為的直接承擔(dān)者）客體有一般客體（文件、目錄）、設(shè)備客體（打印機(jī)）和特殊客體（某些進(jìn)程）

2.2.1訪問控制相關(guān)因素及其策略

1.訪問控制相關(guān)因素

一般來說，在計(jì)算機(jī)系統(tǒng)內(nèi)和訪問控制策略相關(guān)的因素有三大類：主體(用戶)、客體(文件、目錄、數(shù)據(jù)庫等)以及相應(yīng)的可用作訪問控制的主、客體屬性。

1)主體

所謂主體，就是指系統(tǒng)內(nèi)行為的發(fā)起者，通常是指由用戶發(fā)起的進(jìn)程。而對(duì)于系統(tǒng)內(nèi)的用戶來說，一般可分為如下幾類：

(1)普通用戶(user)：一個(gè)獲得授權(quán)可以訪問系統(tǒng)資源的自然人。

(2)信息的擁有者(owner)：是擁有對(duì)此信息的完全處理權(quán)限的用戶，這些權(quán)限包括讀、寫、修理和刪除該信息的權(quán)限以及他可以授權(quán)其他用戶對(duì)其所擁有的信息擁有某些相應(yīng)的權(quán)限，除非該信息被系統(tǒng)另外加以訪問控制。

(3)系統(tǒng)管理員(systemadministrator)：為使系統(tǒng)能進(jìn)行正常運(yùn)轉(zhuǎn)，而對(duì)系統(tǒng)的運(yùn)行進(jìn)行管理的用戶

（Unix,Root用戶）。

2)客體

同樣，所謂客體，就是指在計(jì)算機(jī)系統(tǒng)內(nèi)所有主體行為的直接承擔(dān)者?？偟膩碚f，系統(tǒng)內(nèi)的客體也可以分為三大類：

(1)一般客體(generalobject)：指在系統(tǒng)內(nèi)以客觀、具體的形式存在的信息實(shí)體，如文件、目錄等。

(2)設(shè)備客體(deviceobject)：指系統(tǒng)內(nèi)的設(shè)備，如軟盤、打印機(jī)等。

(3)特殊客體(specialobject)：有時(shí)系統(tǒng)內(nèi)的某些進(jìn)程也是另外一些進(jìn)程行為的承擔(dān)者，那么這類進(jìn)程也屬于客體的一部分。8.3.2安全策略和安全模型

安全策略與安全模型是計(jì)算機(jī)安全理論中容易相互混淆的兩個(gè)概念。安全策略是指有關(guān)管理、保護(hù)和發(fā)布敏感信息的法律、規(guī)定和實(shí)施細(xì)則。例如，可以將安全策略定為：系統(tǒng)中的用戶和信息被劃分為不同的層次，一些級(jí)別比另一些級(jí)別高；而且如果主體能讀訪問客體，當(dāng)且僅當(dāng)主體的級(jí)別高于或等于客體的級(jí)別；如果主體能寫訪問客體，當(dāng)且僅當(dāng)主體的級(jí)別低于或等于客體的級(jí)別。說一個(gè)操作系統(tǒng)是安全的，是指它滿足某一給定的安全策略。同樣進(jìn)行安全操作系統(tǒng)的設(shè)計(jì)和開發(fā)時(shí)，也要圍繞一個(gè)給定的安全策略進(jìn)行。安全策略由一整套嚴(yán)密的規(guī)則組成，這些確定授權(quán)存取的規(guī)則是決定存取控制的基礎(chǔ)。許多系統(tǒng)的安全控制遭到失敗，主要不是因?yàn)槌绦蝈e(cuò)誤，而是沒有明確的安全策略。

8.3.2安全策略和安全模型（續(xù)）

安全模型則是對(duì)安全策略所表達(dá)的安全需求的簡(jiǎn)單、抽象和無歧義的描述，它為安全策略和安全策略實(shí)現(xiàn)機(jī)制的關(guān)聯(lián)提供了一種框架。安全模型描述了對(duì)某個(gè)安全策略需要用哪種機(jī)制來滿足；而模型的實(shí)現(xiàn)則描述了如何把特定的機(jī)制應(yīng)用于系統(tǒng)中，從而實(shí)現(xiàn)某一特定安全策略所需的安全保護(hù)。8.3.3訪問監(jiān)控器和安全內(nèi)核

訪問控制機(jī)制的理論基礎(chǔ)是訪問監(jiān)控器（ReferenceMonitor），由J.P.Anderson首次提出。訪問監(jiān)控器是一個(gè)抽象概念，它表現(xiàn)的是一種思想。J.P.Anderson把訪問監(jiān)控器的具體實(shí)現(xiàn)稱為引用驗(yàn)證機(jī)制，它是實(shí)現(xiàn)訪問監(jiān)控器思想的硬件和軟件的組合8.3.3訪問監(jiān)控器和安全內(nèi)核

訪問監(jiān)控器的關(guān)鍵需求是控制從主體到客體的每一次存取，并將重要的安全事件存入審計(jì)文件之中。引用驗(yàn)證機(jī)制需要同時(shí)滿足以下三個(gè)原則：（1）必須具有自我保護(hù)能力；（保證即使受到攻擊也能保持自身的完整性）（2）必須總是處于活躍狀態(tài)；（保證程序?qū)Y源的所有引用都能得到引用驗(yàn)證機(jī)制的仲裁）（3）必須設(shè)計(jì)得足夠小，以利于分析和測(cè)試，從而能夠證明它的實(shí)現(xiàn)是正確的。

安全內(nèi)核：

在訪問監(jiān)控器思想的基礎(chǔ)上，J.P.Anderson定義了安全內(nèi)核的概念。安全內(nèi)核是指系統(tǒng)中與安全性實(shí)現(xiàn)有關(guān)的部分，包括引用驗(yàn)證機(jī)制、訪問控制機(jī)制、授權(quán)機(jī)制和授權(quán)管理機(jī)制等部分。因此一般情況下人們趨向于把訪問監(jiān)控器的概念和安全內(nèi)核方法等同起來。

安全內(nèi)核是實(shí)現(xiàn)訪問監(jiān)控器概念的一種技術(shù)，在一個(gè)大型操作系統(tǒng)中，只有其中的一小部分軟件用于安全目的是它的理論依據(jù)。所以在重新生成操作系統(tǒng)過程中，可用其中安全相關(guān)的軟件來構(gòu)成操作系統(tǒng)的一個(gè)可信內(nèi)核，稱之為安全內(nèi)核。安全內(nèi)核必須予以適當(dāng)?shù)谋Ｗo(hù)，不能篡改。同時(shí)絕不能有任何繞過安全內(nèi)核存取控制檢查的存取行為存在。此外安全內(nèi)核必須盡可能地小，便于進(jìn)行正確性驗(yàn)證。安全內(nèi)核由硬件和介于硬件和操作系統(tǒng)之間的一層軟件組成.操作系統(tǒng)安全內(nèi)核3.3安全核與引用監(jiān)控器

引用監(jiān)控器：主體對(duì)客體的每次存取以及授權(quán)的改變都必須通過引用監(jiān)控器。

安全核技術(shù)的理論基礎(chǔ)：在一個(gè)大的OS內(nèi)，安全核：實(shí)現(xiàn)引用監(jiān)控器的軟件與硬件。只有很小一部分軟件負(fù)責(zé)系統(tǒng)安全，通過對(duì)OS的重構(gòu)，將與安全有關(guān)的軟件隔離在OS的一個(gè)可信核內(nèi)，而OS的大部分軟件無需負(fù)責(zé)系統(tǒng)安全。

安全核必須是適于保護(hù)的，并且要保證越過安全核的檢查控制是不可能的；安全核必須盡可能小，以便對(duì)它的正確性進(jìn)行檢驗(yàn)。

引用監(jiān)控器的關(guān)鍵作用：是對(duì)主體到客體的每一次訪問都要實(shí)施控制，并對(duì)每一次訪問活動(dòng)進(jìn)行審計(jì)記錄，就好比用戶與目標(biāo)之間帶護(hù)衛(wèi)的大門。

當(dāng)用戶需要訪問目標(biāo)的時(shí)候，首先向監(jiān)控器提出訪問某個(gè)目標(biāo)的請(qǐng)求，監(jiān)控器根據(jù)用戶請(qǐng)求，核查訪問者的權(quán)限，以便確定是否允許這次訪問。

計(jì)算機(jī)系統(tǒng)安全內(nèi)核的主要組成部分就是引用監(jiān)控器。引用監(jiān)控器的邏輯結(jié)構(gòu)如圖3-1所示。審計(jì)文件引用監(jiān)控器主體客體(訪問策略)訪問控制數(shù)據(jù)基

圖3-1訪問監(jiān)控器

引用監(jiān)控器及其對(duì)應(yīng)的安全核必須滿足以下三個(gè)原則：

(1)完備性原則。指主體在沒有對(duì)安全內(nèi)核的引用監(jiān)控器提出請(qǐng)求并獲準(zhǔn)時(shí)，不能訪問客體。也就是說，所有的信息訪問都必須經(jīng)過安全內(nèi)核。

(2)隔離性原則。內(nèi)核和引用監(jiān)控器都要有防篡改能力。實(shí)現(xiàn)時(shí)必須將映射引用監(jiān)控器的安全核與外部系統(tǒng)嚴(yán)密地隔離起來，以防止進(jìn)程對(duì)安全核進(jìn)行非法修改。

(3）可驗(yàn)證性原則。指引用監(jiān)控器本身的正確性能得到證明或驗(yàn)證。

引用監(jiān)控器模型的優(yōu)點(diǎn)是易于實(shí)現(xiàn)，但它有以下不足：

(1）引用監(jiān)控器主要還是作為單級(jí)安全模型來使用的，受監(jiān)視的目標(biāo)要么允許被訪問，要么不允許被訪問。只有簡(jiǎn)單的安全性，不能適應(yīng)更復(fù)雜的安全要求。

(2）系統(tǒng)中所有對(duì)受監(jiān)控目標(biāo)的訪問要求都由監(jiān)控器檢查核實(shí)，監(jiān)控程序?qū)⒈活l繁調(diào)用，這將使監(jiān)控器可能成為整個(gè)系統(tǒng)的瓶頸，影響系統(tǒng)效率。

(3）監(jiān)控器只能控制直接訪問，不能控制間接訪問。8.3.4可信計(jì)算基

操作系統(tǒng)的安全依賴于一些具體實(shí)施安全策略的可信的軟件和硬件。這些軟件、硬件和負(fù)責(zé)系統(tǒng)安全管理的人員一起組成了系統(tǒng)的可信計(jì)算基（TrustedComputingBase，TCB）。具體來說可信計(jì)算基由以下7個(gè)部分組成：

1.操作系統(tǒng)的安全內(nèi)核。2.具有特權(quán)的程序和命令。3.處理敏感信息的程序，如系統(tǒng)管理命令等。4.與TCB實(shí)施安全策略有關(guān)的文件。5.其它有關(guān)的固件、硬件和設(shè)備。6.負(fù)責(zé)系統(tǒng)管理的人員。7.保障固件和硬件正確的程序和診斷軟件。

總結(jié)：可信計(jì)算主要關(guān)注的是硬件的安全性和軟件安全性的協(xié)作。TCPA專注從計(jì)算平臺(tái)體系結(jié)構(gòu)上增強(qiáng)其安全性。8.4安全操作系統(tǒng)的機(jī)制

安全操作系統(tǒng)的機(jī)制包括：硬件安全機(jī)制，操作系統(tǒng)的安全標(biāo)識(shí)與鑒別，訪問控制、最小特權(quán)管理、可信通路和安全審計(jì)。8.4.1硬件安全機(jī)制

絕大多數(shù)實(shí)現(xiàn)操作系統(tǒng)安全的硬件機(jī)制也是傳統(tǒng)操作系統(tǒng)所要求的，優(yōu)秀的硬件保護(hù)性能是高效、可靠的操作系統(tǒng)的基礎(chǔ)。計(jì)算機(jī)硬件安全的目標(biāo)是，保證其自身的可靠性和為系統(tǒng)提供基本安全機(jī)制。其中基本安全機(jī)制包括

存儲(chǔ)保護(hù)

運(yùn)行保護(hù)

I/O保護(hù)等。8.4.2標(biāo)識(shí)與鑒別

標(biāo)識(shí)與鑒別是涉及系統(tǒng)和用戶的一個(gè)過程。標(biāo)識(shí)就是系統(tǒng)要標(biāo)識(shí)用戶的身份，并為每個(gè)用戶取一個(gè)系統(tǒng)可以識(shí)別的內(nèi)部名稱——用戶標(biāo)識(shí)符。用戶標(biāo)識(shí)符必須是惟一的且不能被偽造，防止一個(gè)用戶冒充另一個(gè)用戶。將用戶標(biāo)識(shí)符與用戶聯(lián)系的過程稱為鑒別，鑒別過程主要用以識(shí)別用戶的真實(shí)身份，鑒別操作總是要求用戶具有能夠證明他的身份的特殊信息，并且這個(gè)信息是秘密的，任何其他用戶都不能擁有它。

在操作系統(tǒng)中，鑒別一般是在用戶登錄時(shí)發(fā)生的，系統(tǒng)提示用戶輸入口令，然后判斷用戶輸入的口令是否與系統(tǒng)中存在的該用戶的口令一致。這種口令機(jī)制是簡(jiǎn)便易行的鑒別手段，但比較脆弱。較安全的口令應(yīng)是不小于6個(gè)字符并同時(shí)含有數(shù)字和字母的口令，并且限定一個(gè)口令的生存周期。另外生物技術(shù)是一種比較有前途的鑒別用戶身份的方法，如利用指紋、視網(wǎng)膜等，目前這種技術(shù)已取得了長(zhǎng)足進(jìn)展，逐步進(jìn)入了應(yīng)用階段。8.4.3訪問控制

在安全操作系統(tǒng)領(lǐng)域中，訪問控制一般都涉及

自主訪問控制（DiscretionaryAccessControl，DAC）

強(qiáng)制訪問控制（MandatoryAccessControl，MAC）兩種形式8.4.4最小特權(quán)管理

為使系統(tǒng)能夠正常地運(yùn)行，系統(tǒng)中的某些進(jìn)程需具有一些可違反系統(tǒng)安全策略的操作能力，這些進(jìn)程一般是系統(tǒng)管理員/操作員進(jìn)程。一般定義一個(gè)特權(quán)就是可違反系統(tǒng)安全策略的一個(gè)操作的能力。在現(xiàn)有一般多用戶操作系統(tǒng)的版本中，超級(jí)用戶具有所有特權(quán)，普通用戶不具有任何特權(quán)。一個(gè)進(jìn)程要么具有所有特權(quán)(超級(jí)用戶進(jìn)程)，要么不具有任何特權(quán)(非超級(jí)用戶進(jìn)程)。這種特權(quán)管理方式便于系統(tǒng)維護(hù)和配置，但不利于系統(tǒng)的安全性。一旦超級(jí)用戶的口令丟失或超級(jí)用戶被冒充，將會(huì)對(duì)系統(tǒng)造成極大的損失。另外超級(jí)用戶的誤操作也是系統(tǒng)極大的潛在安全隱患。因此必須實(shí)行最小特權(quán)管理機(jī)制。最小特權(quán)管理的思想是系統(tǒng)不應(yīng)給用戶超過執(zhí)行任務(wù)所需特權(quán)以外的特權(quán)，如將超級(jí)用戶的特權(quán)劃分為一組細(xì)粒度的特權(quán)，分別授予不同的系統(tǒng)操作員/管理員，使各種系統(tǒng)操作員/管理員只具有完成其任務(wù)所需的特權(quán)，從而減少由于特權(quán)用戶口令丟失或錯(cuò)誤軟件、惡意軟件、誤操作所引起的損失。比如可在系統(tǒng)中定義5個(gè)特權(quán)管理職責(zé)，任何一個(gè)用戶都不能獲取足夠的權(quán)力破壞系統(tǒng)的安全策略。

8.4.5可信通路

在計(jì)算機(jī)系統(tǒng)中，用戶是通過不可信的中間應(yīng)用層和操作系統(tǒng)相互作用的。但用戶登錄，定義用戶的安全屬性，改變文件的安全級(jí)等操作，用戶必須確實(shí)與安全核心通信，而不是與一個(gè)特洛伊木馬打交道。系統(tǒng)必須防止特洛伊木馬模仿登錄過程，竊取用戶的口令。特權(quán)用戶在進(jìn)行特權(quán)操作時(shí)，也要有辦法證實(shí)從終端上輸出的信息是正確的，而不是來自于特洛伊木馬。這些都需要一個(gè)機(jī)制保障用戶和內(nèi)核的通信，這種機(jī)制就是由可信通路提供的。8.4.6安全審計(jì)

一個(gè)系統(tǒng)的安全審計(jì)就是對(duì)系統(tǒng)中有關(guān)安全的活動(dòng)進(jìn)行記錄、檢查及審核。它的主要目的就是檢測(cè)和阻止非法用戶對(duì)計(jì)算機(jī)系統(tǒng)的入侵，并顯示合法用戶的誤操作。審計(jì)作為一種事后追查的手段來保證系統(tǒng)的安全，它對(duì)涉及系統(tǒng)安全的操作做一個(gè)完整的記錄。審計(jì)為系統(tǒng)進(jìn)行事故原因的查詢、定位，事故發(fā)生前的預(yù)測(cè)、報(bào)警以及事故發(fā)生之后的實(shí)時(shí)處理提供詳細(xì)、可靠的依據(jù)和支持，以備有違反系統(tǒng)安全規(guī)則的事件發(fā)生后能夠有效地追查事件發(fā)生的地點(diǎn)和過程以及責(zé)任人。8.5代表性的安全模型

安全模型就是對(duì)安全策略所表達(dá)的安全需求的簡(jiǎn)單、抽象和無歧義的描述，它為安全策略和它的實(shí)現(xiàn)機(jī)制之間的關(guān)聯(lián)提供了一種框架。安全模型描述了對(duì)某個(gè)安全策略需要用哪種機(jī)制來滿足；而模型的實(shí)現(xiàn)則描述了如何把特定的機(jī)制應(yīng)用于系統(tǒng)中，從而實(shí)現(xiàn)某一特定安全策略所需的安全保護(hù)。8.5.1安全模型的特點(diǎn)

安全模型的目的就在于明確地表達(dá)這些需求，為設(shè)計(jì)開發(fā)安全系統(tǒng)提供方針。安全模型有以下4個(gè)特點(diǎn)：

它是精確的、無歧義的；它是簡(jiǎn)易和抽象的，所以容易理解；它是一般性的：只涉及安全性質(zhì)，而不過度地牽扯系統(tǒng)的功能或其實(shí)現(xiàn)；它是安全策略的明顯表現(xiàn)。

安全模型一般分為兩種：形式化的安全模型和非形式化的安全模型。非形式化安全模型僅模擬系統(tǒng)的安全功能；形式化安全模型則使用數(shù)學(xué)模型，精確地描述安全性及其在系統(tǒng)中使用的情況。8.5.2主要安全模型介紹

主要介紹具有代表性的

BLP機(jī)密性安全模型

Biba完整性安全模型

Clark-Wilson完整性安全模型

信息流模型

RBAC安全模型

DTE安全模型

無干擾安全模型等。1.Bell-LaPadula（BLP）模型

Bell-LaPadula模型（簡(jiǎn)稱BLP模型）是D.ElliottBell和LeonardJ.LaPadula于1973年提出的一種適用于軍事安全策略的計(jì)算機(jī)操作系統(tǒng)安全模型，它是最早、也是最常用的一種計(jì)算機(jī)多級(jí)安全模型之一。

BLP模型的安全策略包括兩部分：自主安全策略和強(qiáng)制安全策略。自主安全策略使用一個(gè)訪問矩陣表示，訪問矩陣第i行第j列的元素Mij表示主體Si對(duì)客體Oj的所有允許的訪問模式，主體只能按照在訪問矩陣中被授予的對(duì)客體的訪問權(quán)限對(duì)客體進(jìn)行相應(yīng)的訪問。強(qiáng)制安全策略包括簡(jiǎn)單安全特性和＊特性，系統(tǒng)對(duì)所有的主體和客體都分配一個(gè)訪問類屬性，包括主體和客體的密級(jí)和范疇，系統(tǒng)通過比較主體與客體的訪問類屬性控制主體對(duì)客體的訪問。2.Biba模型

BLP模型通過防止非授權(quán)信息的擴(kuò)散保證系統(tǒng)的安全，但它不能防止非授權(quán)修改系統(tǒng)信息。于是Biba等人在1977年提出了第一個(gè)完整性安全模型——Biba模型，其主要應(yīng)用是保護(hù)信息的完整性，而BLP模型是保護(hù)信息機(jī)密性。Biba模型也是基于主體、客體以及它們的級(jí)別的概念的。模型中主體和客體的概念與BLP模型相同，對(duì)系統(tǒng)中的每個(gè)主體和每個(gè)客體均分配一個(gè)級(jí)別，稱為完整級(jí)別。3.Clark-Wilson完整性模型（了解）

在商務(wù)環(huán)境中，1987年DavidClark和DavidWilson所提出的完整性模型具有里程碑的意義，它是完整意義上的完整性目標(biāo)、策略和機(jī)制的起源，在他們的論文中，為了體現(xiàn)用戶完整性，他們提出了職責(zé)隔離目標(biāo)；為了保證數(shù)據(jù)完整性，他們提出了應(yīng)用相關(guān)的完整性驗(yàn)證進(jìn)程；為了建立過程完整性，他們定義了對(duì)于轉(zhuǎn)換過程的應(yīng)用相關(guān)驗(yàn)證；為了約束用戶、進(jìn)程和數(shù)據(jù)之間的關(guān)聯(lián)，他們使用了一個(gè)三元組結(jié)構(gòu)。Clark-Wilson模型的核心在于以良構(gòu)事務(wù)(well-formaltransaction)為基礎(chǔ)來實(shí)現(xiàn)在商務(wù)環(huán)境中所需的完整性策略。良構(gòu)事務(wù)的概念是指一個(gè)用戶不能任意操作數(shù)據(jù)，只能用一種能夠確保數(shù)據(jù)完整性的受控方式來操作數(shù)據(jù)。為了確保數(shù)據(jù)項(xiàng)(dataitems)僅僅只能被良構(gòu)事務(wù)來操作，首先得確認(rèn)一個(gè)數(shù)據(jù)項(xiàng)僅僅只能被一組特定的程序來操縱，而且這些程序都能被驗(yàn)證是經(jīng)過適當(dāng)構(gòu)造，并且被正確安裝和修改。

4.信息流模型

許多信息泄露問題（如隱蔽通道）并非存取控制機(jī)制不完善，而是由于缺乏對(duì)信息流的必要保護(hù)。例如遵守BLP模型的系統(tǒng)，應(yīng)當(dāng)遵守“下讀上寫”的規(guī)則，即低安全進(jìn)程不能讀高安全級(jí)文件，高安全級(jí)進(jìn)程不能寫低安全級(jí)文件。然而在實(shí)際系統(tǒng)中，盡管不一定能直接為主體所見，許多客體（包括緩沖池、定額變量、全程計(jì)數(shù)器等等）還是可以被所有不同安全級(jí)的主體更改和讀取，這樣入侵者就可能利用這些客體間接地傳遞信息。要建立高級(jí)別的安全操作系統(tǒng)，必須在建立完善的存取控制機(jī)制的同時(shí)，依據(jù)適當(dāng)?shù)男畔⒘髂Ｐ蛯?shí)現(xiàn)對(duì)信息流的分析和控制。

5.基于角色的訪問控制模型（RBAC)

基于角色的訪問控制模型（Role-BasedAccessControl，RBAC）提供了一種強(qiáng)制訪問控制機(jī)制。在一個(gè)采用RBAC作為授權(quán)訪問控制的系統(tǒng)中，根據(jù)公司或組織的業(yè)務(wù)特征或管理需求，一般要求在系統(tǒng)內(nèi)設(shè)置若干個(gè)稱之為“角色”的客體，用以支撐RBAC授權(quán)存取控制機(jī)制的實(shí)現(xiàn)。角色，就是業(yè)務(wù)系統(tǒng)中的崗位、職位或者分工。例如在一個(gè)公司內(nèi)，財(cái)會(huì)主管、會(huì)計(jì)、出納、核算員等每一種崗位都可以設(shè)置多個(gè)職員具體從事該崗位的工作，因此它們都可以視為角色。6.DTE模型（了解）

DTE模型最初由Boebert和Kain提出，經(jīng)修改后在LOCK系統(tǒng)中得到實(shí)現(xiàn)。與其它訪問控制機(jī)制一樣，DTE將系統(tǒng)視為一個(gè)主動(dòng)實(shí)體（主體）的集合和一個(gè)被動(dòng)實(shí)體（客體）的集合。每個(gè)主體有一個(gè)屬性──域，每個(gè)客體有一個(gè)屬性──類型，這樣所有的主體被劃分到若干個(gè)域中，所有的客體被劃分到若干個(gè)類型中。DTE再建立一個(gè)表“域定義表”(DomainDefinitionTable)，描述各個(gè)域?qū)Σ煌愋涂腕w的操作權(quán)限。同時(shí)建立另一張表“域交互表”(DomainInteractionTable)，描述各個(gè)域之間的許可訪問模式（如創(chuàng)建、發(fā)信號(hào)、切換）。系統(tǒng)運(yùn)行時(shí)，依據(jù)訪問的主體域和客體類型，查找域定義表，決定是否允許訪問。7.無干擾模型（了解）

Goguen與Meseguer在1982年提出了一種基于自動(dòng)機(jī)理論和域隔離的安全系統(tǒng)事項(xiàng)方法，這個(gè)方法分為4個(gè)階段：（1）判定一給定機(jī)構(gòu)的安全需求；（2）用正式/形式化的安全策略表示這些需求；（3）把機(jī)構(gòu)正在（或?qū)⒁┦褂玫南到y(tǒng)模型化；（4）驗(yàn)證此模型滿足策略的需求。Goguen與Meseguer把安全策略與安全模型明確地區(qū)分開來。一般來說安全策略是非常簡(jiǎn)單的，而且很容易用適當(dāng)?shù)男问交椒ū硎境鰜怼Ｋ麄兲岢隽艘环N非常簡(jiǎn)單的用來表達(dá)安全策略的需求語言，該語言是基于無干擾概念的：

8.6操作系統(tǒng)安全體系結(jié)構(gòu)（自學(xué)）

建立一個(gè)計(jì)算機(jī)系統(tǒng)往往需要滿足許多要求，如安全性要求，性能要求，可擴(kuò)展性要求，容量要求，使用的方便性要求和成本要求等，這些要求往往是有沖突的，為了把它們協(xié)調(diào)地納入到一個(gè)系統(tǒng)中并有效實(shí)現(xiàn)，對(duì)所有的要求都予以最大可能滿足通常是很困難的，有時(shí)也是不可能的。因此系統(tǒng)對(duì)各種要求的滿足程度必須在各種要求之間進(jìn)行全局性地折衷考慮，并通過恰當(dāng)?shù)膶?shí)現(xiàn)方式表達(dá)出這些考慮，使系統(tǒng)在實(shí)現(xiàn)時(shí)各項(xiàng)要求有輕重之分，這就是體系結(jié)構(gòu)要完成的主要任務(wù)。8.6.1安全體系結(jié)構(gòu)的含義

一個(gè)計(jì)算機(jī)系統(tǒng)（特別是安全操作系統(tǒng)）的安全體系結(jié)構(gòu)，主要包含如下4方面的內(nèi)容：1.詳細(xì)描述系統(tǒng)中安全相關(guān)的所有方面。這包括系統(tǒng)可能提供的所有安全服務(wù)及保護(hù)系統(tǒng)自身安全的所有安全措施，描述方式可以用自然語言，也可以用形式語言。2.在一定的抽象層次上描述各個(gè)安全相關(guān)模塊之間的關(guān)系。這可以用邏輯框圖來表達(dá)，主要用以在抽象層次上按滿足安全需求的方式來描述系統(tǒng)關(guān)鍵元素之間的關(guān)系。3.提出指導(dǎo)設(shè)計(jì)的基本原理。根據(jù)系統(tǒng)設(shè)計(jì)的要求及工程設(shè)計(jì)的理論和方法，明確系統(tǒng)設(shè)計(jì)的各方面的基本原則。4.提出開發(fā)過程的基本框架及對(duì)應(yīng)于該框架體系的層次結(jié)構(gòu)。它描述確保系統(tǒng)忠實(shí)于安全需求的整個(gè)開發(fā)過程的所有方面。為達(dá)到此目的，安全體系總是按一定的層次結(jié)構(gòu)進(jìn)行描述

8.6.2安全體系結(jié)構(gòu)的類型

在美國國防部的“目標(biāo)安全體系”中，把安全體系劃分為四種類型：1.抽象體系(AbstractArchitecture)。抽象體系從描述需求開始，定義執(zhí)行這些需求的功能函數(shù)。之后定義指導(dǎo)如何選用這些功能函數(shù)及如何把這些功能有機(jī)組織成為一個(gè)整體的原理及相關(guān)的基本概念。2.通用體系(GenericArchitecture)。通用體系的開發(fā)是基于抽象體系的決策來進(jìn)行的。它定義了系統(tǒng)分量的通用類型(generaltype)及使用相關(guān)行業(yè)標(biāo)準(zhǔn)的情況，它也明確規(guī)定系統(tǒng)應(yīng)用中必要的指導(dǎo)原則。通用安全體系是在已有的安全功能和相關(guān)安全服務(wù)配置的基礎(chǔ)上，定義系統(tǒng)分量類型及可得到的實(shí)現(xiàn)這些安全功能的有關(guān)安全機(jī)制。3.邏輯體系(LogicalArchitecture)。邏輯體系就是滿足某個(gè)假設(shè)的需求集合的一個(gè)設(shè)計(jì)，它顯示了把一個(gè)通用體系應(yīng)用于具體環(huán)境時(shí)的基本情況。邏輯體系與下面將描述的特殊體系的僅有的不同之處在于：特殊體系是使用系統(tǒng)的實(shí)際體系，而邏輯體系是假想的體系，是為理解或者其它目的而提出的。4.特殊體系(SpecificArchitecture)。特殊安全體系要表達(dá)系統(tǒng)分量、接口、標(biāo)準(zhǔn)、性能和開銷，它表明如何把所有被選擇的信息安全分量和機(jī)制結(jié)合起來以滿足我們正在考慮的特殊系統(tǒng)的安全需求。這里信息安全分量和機(jī)制包括基本原則及支持安全管理的分量等。

8.6.3Flask安全體系結(jié)構(gòu)

Flask原型由一個(gè)基于微內(nèi)核的操作系統(tǒng)來實(shí)現(xiàn)，支持硬件強(qiáng)行對(duì)進(jìn)程地址空間的分離。但也有一些最近的努力已經(jīng)展示了軟件強(qiáng)行進(jìn)程分離的效果。對(duì)Flask結(jié)構(gòu)而言，這種區(qū)別是基本不相關(guān)的。它認(rèn)為所提供的進(jìn)程分離的形式才是主要的，但Flask結(jié)構(gòu)并沒有強(qiáng)制要某一種機(jī)制。Flask結(jié)構(gòu)為達(dá)到其他系統(tǒng)常見的可適應(yīng)性，將通過采用DTOS結(jié)構(gòu)在SPIN中的安全框架具體證明。進(jìn)一步來講，F(xiàn)lask結(jié)構(gòu)也可以適用于除操作系統(tǒng)之外的其它軟件，例如中間件或分布式系統(tǒng)，但此時(shí)由底層操作系統(tǒng)的不安全性所導(dǎo)致的弱點(diǎn)仍保留。8.6.4權(quán)能體系結(jié)構(gòu)

權(quán)能體系是較早用于實(shí)現(xiàn)安全內(nèi)核的結(jié)構(gòu)體系，盡管它存在一些不足，但是作為實(shí)現(xiàn)訪問控制的一種通用的、可塑性良好的方法，目前仍然是人們實(shí)現(xiàn)安全比較偏愛的方法之一。權(quán)能體系的優(yōu)點(diǎn)包括2個(gè)方面：（1）權(quán)能為訪問客體和保護(hù)客體提供了一個(gè)統(tǒng)一的方法，權(quán)能的應(yīng)用對(duì)統(tǒng)籌設(shè)計(jì)及簡(jiǎn)化證明過程有重要的影響。（2）權(quán)能與層次設(shè)計(jì)方法是非常協(xié)調(diào)的，從權(quán)能機(jī)制很自然可導(dǎo)致使用擴(kuò)展型對(duì)象來提供抽象和保護(hù)的層次。盡管對(duì)權(quán)能提供的保護(hù)及權(quán)能的創(chuàng)建是集中式的，但是由權(quán)能實(shí)現(xiàn)的保護(hù)是可適當(dāng)分配的，也就是說，權(quán)能具有傳遞能力。這樣一來，權(quán)能促進(jìn)了機(jī)制與策略的分離。

8.7操作系統(tǒng)安全配置方案8.7.1安全配置初級(jí)篇

安全配置方案初級(jí)篇主要介紹常規(guī)的操作系統(tǒng)安全配置，包括12條基本配置原則：

物理安全、停止Guest帳號(hào)、限制用戶數(shù)量

創(chuàng)建多個(gè)管理員帳號(hào)、管理員帳號(hào)改名

陷阱帳號(hào)、更改默認(rèn)權(quán)限、設(shè)置安全密碼

屏幕保護(hù)密碼、使用NTFS分區(qū)

運(yùn)行防毒軟件和確保備份盤安全。1、物理安全

服務(wù)器應(yīng)該安放在安裝了監(jiān)視器的隔離房間內(nèi)，并且監(jiān)視器要保留15天以上的攝像記錄。

另外，機(jī)箱，鍵盤，電腦桌抽屜要上鎖，以確保旁人即使進(jìn)入房間也無法使用電腦，鑰匙要放在安全的地方。2、停止Guest帳號(hào)

在計(jì)算機(jī)管理的用戶里面把Guest帳號(hào)停用，任何時(shí)候都不允許Guest帳號(hào)登陸系統(tǒng)。為了保險(xiǎn)起見，最好給Guest加一個(gè)復(fù)雜的密碼，可以打開記事本，在里面輸入一串包含特殊字符,數(shù)字，字母的長(zhǎng)字符串。用它作為Guest帳號(hào)的密碼。并且修改Guest帳號(hào)的屬性，設(shè)置拒絕遠(yuǎn)程訪問，如圖7-1所示。

3限制用戶數(shù)量

去掉所有的測(cè)試帳戶、共享帳號(hào)和普通部門帳號(hào)等等。用戶組策略設(shè)置相應(yīng)權(quán)限，并且經(jīng)常檢查系統(tǒng)的帳戶，刪除已經(jīng)不使用的帳戶。

帳戶很多是黑客們?nèi)肭窒到y(tǒng)的突破口，系統(tǒng)的帳戶越多，黑客們得到合法用戶的權(quán)限可能性一般也就越大。

對(duì)于WindowsNT/2000主機(jī)，如果系統(tǒng)帳戶超過10個(gè)，一般能找出一兩個(gè)弱口令帳戶，所以帳戶數(shù)量不要大于10個(gè)。4多個(gè)管理員帳號(hào)

雖然這點(diǎn)看上去和上面有些矛盾，但事實(shí)上是服從上面規(guī)則的。創(chuàng)建一個(gè)一般用戶權(quán)限帳號(hào)用來處理電子郵件以及處理一些日常事物，另一個(gè)擁有Administrator權(quán)限的帳戶只在需要的時(shí)候使用。

因?yàn)橹灰卿浵到y(tǒng)以后，密碼就存儲(chǔ)再WinLogon進(jìn)程中，當(dāng)有其他用戶入侵計(jì)算機(jī)的時(shí)候就可以得到登錄用戶的密碼，盡量減少Administrator登錄的次數(shù)和時(shí)間。5管理員帳號(hào)改名

Windows2000中的Administrator帳號(hào)是不能被停用的，這意味著別人可以一遍又一邊的嘗試這個(gè)帳戶的密碼。把Administrator帳戶改名可以有效的防止這一點(diǎn)。

不要使用Admin之類的名字，改了等于沒改，盡量把它偽裝成普通用戶，比如改成：guestone。具體操作的時(shí)候只要選中帳戶名改名就可以了，如圖7-2所示。6陷阱帳號(hào)

所謂的陷阱帳號(hào)是創(chuàng)建一個(gè)名為“Administrator”的本地帳戶，把它的權(quán)限設(shè)置成最低，什么事也干不了的那種，并且加上一個(gè)超過10位的超級(jí)復(fù)雜密碼。

這樣可以讓那些企圖入侵者忙上一段時(shí)間了，并且可以借此發(fā)現(xiàn)它們的入侵企圖?？梢詫⒃撚脩綦`屬的組修改成Guests組，如圖7-3所示。7更改默認(rèn)權(quán)限

共享文件的權(quán)限從“Everyone”組改成“授權(quán)用戶”?！癊veryone”在Windows2000中意味著任何有權(quán)進(jìn)入你的網(wǎng)絡(luò)的用戶都能夠獲得這些共享資料。

任何時(shí)候不要把共享文件的用戶設(shè)置成“Everyone”組。包括打印共享，默認(rèn)的屬性就是“Everyone”組的，一定不要忘了改。設(shè)置某文件夾共享默認(rèn)設(shè)置如圖7-4所示。8安全密碼

安全的密碼對(duì)于一個(gè)網(wǎng)絡(luò)是非常重要的，但是也是最容易被忽略的。

一些網(wǎng)絡(luò)管理員創(chuàng)建帳號(hào)的時(shí)候往往用公司名，計(jì)算機(jī)名，或者一些別的一猜就到的字符做用戶名，然后又把這些帳戶的密碼設(shè)置得比較簡(jiǎn)單，比如：“welcome”、“iloveyou”、“l(fā)etmein”或者和用戶名相同的密碼等。這樣的帳戶應(yīng)該要求用戶首此登陸的時(shí)候更改成復(fù)雜的密碼，還要注意經(jīng)常更改密碼。

這里給安全密碼下了個(gè)定義：安全期內(nèi)無法破解出來的密碼就是安全密碼，也就是說，如果得到了密碼文檔，必須花43天或者更長(zhǎng)的時(shí)間才能破解出來，密碼策略是42天必須改密碼。9屏幕保護(hù)密碼

設(shè)置屏幕保護(hù)密碼是防止內(nèi)部人員破壞服務(wù)器的一個(gè)屏障。注意不要使用OpenGL和一些復(fù)雜的屏幕保護(hù)程序，浪費(fèi)系統(tǒng)資源，黑屏就可以了。

還有一點(diǎn)，所有系統(tǒng)用戶所使用的機(jī)器也最好加上屏幕保護(hù)密碼。

將屏幕保護(hù)的選項(xiàng)“密碼保護(hù)”選中就可以了，并將等待時(shí)間設(shè)置為最短時(shí)間“1秒”，如圖7-5所示。10NTFS分區(qū)

把服務(wù)器的所有分區(qū)都改成NTFS格式。NTFS文件系統(tǒng)要比FAT、FAT32的文件系統(tǒng)安全得多。11防毒軟件

Windows2000/NT服務(wù)器一般都沒有安裝防毒軟件的，一些好的殺毒軟件不僅能殺掉一些著名的病毒，還能查殺大量木馬和后門程序。

設(shè)置了防毒軟件，“黑客”們使用的那些有名的木馬就毫無用武之地了，并且要經(jīng)常升級(jí)病毒庫。12備份盤的安全

一旦系統(tǒng)資料被黑客破壞，備份盤將是恢復(fù)資料的唯一途徑。備份完資料后，把備份盤放在安全的地方。

不能把資料備份在同一臺(tái)服務(wù)器上，這樣的話還不如不要備份。8.7.2安全配置方案中級(jí)篇

安全配置方案中級(jí)篇主要介紹操作系統(tǒng)的安全策略配置，包括10條基本配置原則：

操作系統(tǒng)安全策略、關(guān)閉不必要的服務(wù)

關(guān)閉不必要的端口、開啟審核策略

開啟密碼策略、開啟帳戶策略、備份敏感文件

不顯示上次登陸名、禁止建立空連接和下載最新的補(bǔ)丁1操作系統(tǒng)安全策略

利用Windows2000的安全配置工具來配置安全策略，微軟提供了一套的基于管理控制臺(tái)的安全配置和分析工具，可以配置服務(wù)器的安全策略。在管理工具中可以找到“本地安全策略”，主界面如圖7-6所示。

可以配置四類安全策略：帳戶策略、本地策略、公鑰策略和IP安全策略。在默認(rèn)的情況下，這些策略都是沒有開啟的。2關(guān)閉不必要的服務(wù)

Windows2000的TerminalServices（終端服務(wù)）和IIS（Internet信息服務(wù)）等都可能給系統(tǒng)帶來安全漏洞。

為了能夠在遠(yuǎn)程方便的管理服務(wù)器，很多機(jī)器的終端服務(wù)都是開著的，如果開了，要確認(rèn)已經(jīng)正確的配置了終端服務(wù)。

有些惡意的程序也能以服務(wù)方式悄悄的運(yùn)行服務(wù)器上的終端服務(wù)。要留意服務(wù)器上開啟的所有服務(wù)并每天檢查。

Windows2000作為服務(wù)器可禁用的服務(wù)及其相關(guān)說明如表7-1所示。Windows2000可禁用的服務(wù)服務(wù)名說明ComputerBrowser維護(hù)網(wǎng)絡(luò)上計(jì)算機(jī)的最新列表以及提供這個(gè)列表Taskscheduler允許程序在指定時(shí)間運(yùn)行RoutingandRemoteAccess在局域網(wǎng)以及廣域網(wǎng)環(huán)境中為企業(yè)提供路由服務(wù)Removablestorage管理可移動(dòng)媒體、驅(qū)動(dòng)程序和庫RemoteRegistryService允許遠(yuǎn)程注冊(cè)表操作PrintSpooler將文件加載到內(nèi)存中以便以后打印。要用打印機(jī)的用戶不能禁用這項(xiàng)服務(wù)IPSECPolicyAgent管理IP安全策略以及啟動(dòng)ISAKMP/Oakley(IKE)和IP安全驅(qū)動(dòng)程序DistributedLinkTrackingClient當(dāng)文件在網(wǎng)絡(luò)域的NTFS卷中移動(dòng)時(shí)發(fā)送通知Com+EventSystem提供事件的自動(dòng)發(fā)布到訂閱COM組件3關(guān)閉不必要的端口

關(guān)閉端口意味著減少功能，如果服務(wù)器安裝在防火墻的后面，被入侵的機(jī)會(huì)就會(huì)少一些，但是不可以認(rèn)為高枕無憂了。用端口掃描器掃描系統(tǒng)所開放的端口，在Winnt\system32\drivers\etc\services文件中有知名端口和服務(wù)的對(duì)照表可供參考。該文件用記事本打開如圖7-7所示。

設(shè)置本機(jī)開放的端口和服務(wù)，在IP地址設(shè)置窗口中點(diǎn)擊按鈕“高級(jí)”，如圖7-8所示。

在出現(xiàn)的對(duì)話框中選擇選項(xiàng)卡“選項(xiàng)”，選中“TCP/IP篩選”，點(diǎn)擊按鈕“屬性”，如圖7-9所示。

設(shè)置端口界面如圖7-10所示。一臺(tái)Web服務(wù)器只允許TCP的80端口通過就可以了。TCP/IP篩選器是Windows自帶的防火墻，功能比較強(qiáng)大，可以替代防火墻的部分功能。

4開啟審核策略

安全審核是Windows2000最基本的入侵檢測(cè)方法。當(dāng)有人嘗試對(duì)系統(tǒng)進(jìn)行某種方式入侵的時(shí)候，都會(huì)被安全審核記錄下來。很多的管理員在系統(tǒng)被入侵了幾個(gè)月都不知道，直到系統(tǒng)遭到破壞。表7-2的這些審核是必須開啟的，其他的可以根據(jù)需要增加。

策略設(shè)置審核系統(tǒng)登陸事件成功，失敗審核帳戶管理成功，失敗審核登陸事件成功，失敗審核對(duì)象訪問成功審核策略更改成功，失敗審核特權(quán)使用成功，失敗審核系統(tǒng)事件成功，失敗審核策略默認(rèn)設(shè)置

審核策略在默認(rèn)的情況下都是沒有開啟的，如圖7-11所示。

雙擊審核列表的某一項(xiàng)，出現(xiàn)設(shè)置對(duì)話框，將復(fù)選框“成功”和“失敗”都選中，如圖7-12所示。5開啟密碼策略

密碼對(duì)系統(tǒng)安全非常重要。本地安全設(shè)置中的密碼策略在默認(rèn)的情況下都沒有開啟。需要開啟的密碼策略如表7-3所示策略設(shè)置密碼復(fù)雜性要求啟用密碼長(zhǎng)度最小值6位密碼最長(zhǎng)存留期15天強(qiáng)制密碼歷史5個(gè)

設(shè)置選項(xiàng)如圖7-13所示。6開啟帳戶策略

開啟帳戶策略可以有效的防止字典式攻擊，設(shè)置如表7-4所示。策略設(shè)置復(fù)位帳戶鎖定計(jì)數(shù)器帳戶鎖定時(shí)間帳戶鎖定閾值30分鐘30分鐘5次設(shè)置帳戶策略

設(shè)置的結(jié)果如圖7-14所示。7備份敏感文件

把敏感文件存放在另外的文件服務(wù)器中，雖然服務(wù)器的硬盤容量都很大，但是還是應(yīng)該考慮把一些重要的用戶數(shù)據(jù)（文件，數(shù)據(jù)表和項(xiàng)目文件等）存放在另外一個(gè)安全的服務(wù)器中，并且經(jīng)常備份它們。8不顯示上次登錄名

默認(rèn)情況下，終端服務(wù)接入服務(wù)器時(shí)，登陸對(duì)話框中會(huì)顯示上次登陸的帳戶名，本地的登陸對(duì)話框也是一樣。黑客們可以得到系統(tǒng)的一些用戶名，進(jìn)而做密碼猜測(cè)。修改注冊(cè)表禁止顯示上次登錄名，在HKEY_LOCAL_MACHINE主鍵下修改子鍵：Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\DontDisplayLastUserName，將鍵值改成1，如圖7-15所示。

9禁止建立空連接

默認(rèn)情況下，任何用戶通過空連接連上服務(wù)器，進(jìn)而可以枚舉出帳號(hào)，猜測(cè)密碼。

可以通過修改注冊(cè)表來禁止建立空連接。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：

System\CurrentControlSet\Control\LSA\RestrictAnonymous，將鍵值改成“1”即可。如圖7-16所示。10下載最新的補(bǔ)丁

很多網(wǎng)絡(luò)管理員沒有訪問安全站點(diǎn)的習(xí)慣，以至于一些漏洞都出了很久了，還放著服務(wù)器的漏洞不補(bǔ)給人家當(dāng)靶子用。

誰也不敢保證數(shù)百萬行以上代碼的Windows2000不出一點(diǎn)安全漏洞。

經(jīng)常訪問微軟和一些安全站點(diǎn)，下載最新的ServicePack和漏洞補(bǔ)丁，是保障服務(wù)器長(zhǎng)久安全的唯一方法。8.7.3安全配置方案高級(jí)篇

高級(jí)篇介紹操作系統(tǒng)安全信息通信配置，包括14條配置原則：

關(guān)閉DirectDraw、關(guān)閉默認(rèn)共享

禁用DumpFile、文件加密系統(tǒng)

加密Temp文件夾、鎖住注冊(cè)表、關(guān)機(jī)時(shí)清除文件

禁止軟盤光盤啟動(dòng)、使用智能卡、使用IPSec

禁止判斷主機(jī)類型、抵抗DDOS

禁止Guest訪問日志和數(shù)據(jù)恢復(fù)軟件1關(guān)閉DirectDraw

C2級(jí)安全標(biāo)準(zhǔn)對(duì)視頻卡和內(nèi)存有要求。關(guān)閉DirectDraw可能對(duì)一些需要用到DirectX的程序有影響（比如游戲），但是對(duì)于絕大多數(shù)的商業(yè)站點(diǎn)都是沒有影響的。在HKEY_LOCAL_MACHINE主鍵下修改子鍵：SYSTEM\CurrentControlSet\Control\GraphicsDrivers\DCI\Timeout，將鍵值改為“0”即可，如圖7-17所示。

2關(guān)閉默認(rèn)共享

Windows2000安裝以后，系統(tǒng)會(huì)創(chuàng)建一些隱藏的共享，可以在DOS提示符下輸入命令NetShare查看，如圖7-18所示。停止默認(rèn)共享

禁止這些共享，打開管理工具>計(jì)算機(jī)管理>共享文件夾>共享，在相應(yīng)的共享文件夾上按右鍵，點(diǎn)停止共享即可，如圖7-19所示。3禁用Dump文件

在系統(tǒng)崩潰和藍(lán)屏的時(shí)候，Dump文件是一份很有用資料，可以幫助查找問題。然而，也能夠給黑客提供一些敏感信息，比如一些應(yīng)用程序的密碼等需要禁止它，打開控制面板>系統(tǒng)屬性>高級(jí)>啟動(dòng)和故障恢復(fù)，把寫入調(diào)試信息改成無，如圖7-20所示。

4文件加密系統(tǒng)

Windows2000強(qiáng)大的加密系統(tǒng)能夠給磁盤，文件夾，文件加上一層安全保護(hù)。這樣可以防止別人把你的硬盤掛到別的機(jī)器上以讀出里面的數(shù)據(jù)。

微軟公司為了彌補(bǔ)WindowsNT4.0的不足，在Windows2000中，提供了一種基于新一代NTFS：NTFSV5（第5版本）的加密文件系統(tǒng)（EncryptedFileSystem，簡(jiǎn)稱EFS）。

EFS實(shí)現(xiàn)的是一種基于公共密鑰的數(shù)據(jù)加密方式，利用了Windows2000中的CryptoAPI結(jié)構(gòu)。5加密Temp文件夾

一些應(yīng)用程序在安裝和升級(jí)的時(shí)候，會(huì)把一些東西拷貝到Temp文件夾，但是當(dāng)程序升級(jí)完畢或關(guān)閉的時(shí)候，并不會(huì)自己清除Temp文件夾的內(nèi)容。

所以，給Temp文件夾加密可以給你的文件多一層保護(hù)。6鎖住注冊(cè)表

在Windows2000中，只有Administrators和BackupOperators才有從網(wǎng)絡(luò)上訪問注冊(cè)表的權(quán)限。當(dāng)帳號(hào)的密碼泄漏以后，黑客也可以在遠(yuǎn)程訪問注冊(cè)表，當(dāng)服務(wù)器放到網(wǎng)絡(luò)上的時(shí)候，一般需要鎖定注冊(cè)表。修改Hkey_current_user下的子鍵Software\microsoft\windows\currentversion\Policies\system把DisableRegistryTools的值該為0，類型為DWORD，如圖7-21所示。7關(guān)機(jī)時(shí)清除文件

頁面文件也就是調(diào)度文件，一些第三方的程序可以把一些沒有的加密的密碼存在內(nèi)存中，頁面文件中可能含有另外一些敏感的資料。要在關(guān)機(jī)的時(shí)候清除頁面文件，可以編輯注冊(cè)表修改主鍵HKEY_LOCAL_MACHINE下的子鍵：SYSTEM\CurrentControlSet\Control\SessionManager\MemoryManagement把ClearPageFileAtShutdown的值設(shè)置成1，如圖7-22所示。

8禁止軟盤光盤啟動(dòng)

一些第三方的工具能通過引導(dǎo)系統(tǒng)來繞過原有的安全機(jī)制。比如一些管理員工具，從軟盤上或者光盤上引導(dǎo)系統(tǒng)以后，就可以修改硬盤上操作系統(tǒng)的管理員密碼。

如果服務(wù)器對(duì)安全要求非常高，可以考慮使用可移動(dòng)軟盤和光驅(qū)，把機(jī)箱鎖起來仍然不失為一個(gè)好方法。9使用智能卡

對(duì)于密碼，總是使安全管理員進(jìn)退兩難，如果密碼太簡(jiǎn)單，容易受到一些工具的攻擊，如果密碼太復(fù)雜，用戶為了記住密碼，會(huì)把密碼到處亂寫。

如果條件允許，用智能卡來代替復(fù)雜的密碼是一個(gè)很好的解決方法。10使用IPSec

正如其名字的含義，IPSec提供IP數(shù)據(jù)包的安全性。

IPSec提供身份驗(yàn)證、完整性和可選擇的機(jī)密性。發(fā)送方計(jì)算機(jī)在傳輸之前加密數(shù)據(jù)，而接收方計(jì)算機(jī)在收到數(shù)據(jù)之后解密數(shù)據(jù)。

利用IPSec可以使得系統(tǒng)的安全性能大大增強(qiáng)。11禁止判斷主機(jī)類型

黑客利用TTL（Time-To-Live，活動(dòng)時(shí)間）值可以鑒別操作系統(tǒng)的類型，通過Ping指令能判斷目標(biāo)主機(jī)類型。Ping的用處是檢測(cè)目標(biāo)主機(jī)是否連通。許多入侵者首先會(huì)Ping一下主機(jī)，因?yàn)楣裟骋慌_(tái)計(jì)算機(jī)需要根據(jù)對(duì)方的操作系統(tǒng)，是Windows還是Unix。如過TTL值為128就可以認(rèn)為你的系統(tǒng)為Windows2000，如圖7-23所示。

從圖中可以看出，TTL值為128，說明該主機(jī)的操作系統(tǒng)是Windows2000操作系統(tǒng)。表7-6給出了一些常見操作操作系統(tǒng)類型系統(tǒng)的對(duì)照值。TTL返回值Windows2000WindowsNTwin9xsolarisIRIXAIXLinux128107128or127252240247241or240

修改TTL的值，入侵者就無法入侵電腦了。比如將操作系統(tǒng)的TTL值改為111，修改主鍵HKEY_LOCAL_MACHINE的子鍵：SYSTEM\CURRENT_CONTROLSET\SERVICES\TCPIP\PARAMETERS新建一個(gè)雙字節(jié)項(xiàng)，如圖7-24所示。

在鍵的名稱中輸入“def